Cisco Industrial Gear’daki Komut Enjeksiyon Hatası, Devralmayı Tamamlamak için Cihazları Açıyor



Veri merkezlerinde, büyük işletmelerde, endüstriyel fabrikalarda, elektrik santrallerinde, üretim merkezlerinde ve akıllı şehir elektrik şebekelerinde kullanılan Cisco donanımlarında, siber saldırganların bu cihazlara ve daha geniş ağlara sınırsız erişimine izin verebilecek bir güvenlik açığı bulundu.

1 Şubat’ta yayınlanan bir raporda, Trellix araştırmacıları, aşağıdaki Cisco ağ cihazlarını etkileyen keşfedilen iki güvenlik açığından biri olan hatayı ortaya çıkardı:

  • Cisco ISR 4431 yönlendiricileri
  • 800 Serisi Endüstriyel ISR’ler
  • CGR1000 Bilgi İşlem Modülleri
  • IC3000 Endüstriyel Bilgi İşlem Ağ Geçitleri
  • IOx ile yapılandırılmış IOS XE tabanlı cihazlar
  • IR510 WPAN Endüstriyel Yönlendiriciler
  • Cisco Catalyst Erişim noktaları

Henüz piyasaya sürülmemiş kodda bir hata (CSCwc67015) tespit edildi. Bilgisayar korsanlarının kendi kodlarını uzaktan yürütmesine ve potansiyel olarak cihazdaki dosyaların çoğunun üzerine yazmasına izin verebilirdi.

İkinci, muhtemelen daha kötü, böcek — CVE-2023-20076 — üretim ekipmanında bulunan, yetkisiz kök düzeyinde erişime ve uzaktan kod yürütmeye (RCE) kapı açabilen bir komut enjeksiyon hatasıdır. Bu, yalnızca bir cihazın işletim sistemi üzerinde tam kontrol değil, aynı zamanda Cisco’nun böyle bir senaryoya karşı korumalarına rağmen herhangi bir yükseltme veya yeniden başlatma yoluyla kalıcılığı da gerektirecekti.

Trellix’e göre, Cisco ağ ekipmanının dünya çapında veri merkezlerinde, işletmelerde ve devlet kuruluşlarında kullanıldığı ve endüstriyel tesislerde en yaygın ayak izi olduğu göz önüne alındığında, kusurların etkisi dikkate değer olabilir.

Trellix Gelişmiş Araştırma Merkezi kıdemli güvenlik araştırmacısı Sam Quinn, Dark Reading’e “Yönlendiriciler, anahtarlar ve ağ iletişimi dünyasında Cisco pazarın şu anki kralıdır” diyor. etkiledi.”

En Son Cisco Güvenlik Hatalarının İçinde

Trellix’e göre bu iki güvenlik açığı, yönlendirme teknolojilerinin doğasındaki değişimin bir yan ürünü. Günümüzde ağ yöneticileri, uygulama kapsayıcılarını ve hatta sanal makinelerin tamamını bu minyatür sunucu yönlendiricilerine dağıtma yeteneğine sahiptir. Bu daha büyük karmaşıklık, hem daha fazla işlevsellik hem de daha geniş bir saldırı yüzeyi sağlar.

Raporun yazarları, “Modern yönlendiriciler artık yüksek güçlü sunucular gibi işlev görüyor,” diye açıkladı, “birçok Ethernet bağlantı noktası yalnızca yönlendirme yazılımı değil, hatta bazı durumlarda birden çok kapsayıcı çalıştırıyor.”

Hem CSCwc67015 hem de CVE-2023-20076, yönlendiricinin gelişmiş uygulama barındırma ortamından kaynaklanır.

CSCwc67015, barındırma ortamında “kötü amaçlarla paketlenmiş bir uygulamanın yüklenen uygulamanın sıkıştırmasını açarken hayati bir güvenlik kontrolünü nasıl atlayabileceğini” yansıtır. Kontrol, sistemi, Trellix’in geçtiğimiz Eylül ayında CVE-2007-4559 olarak tanımladığı bir Python modülündeki 15 yıllık yol geçişi güvenlik açığına karşı korumaya çalıştı. 5.5’lik “orta” bir CVSS v3 puanıyla, kötü niyetli aktörlerin keyfi dosyaların üzerine yazmasına izin verdi.

Bu arada, CVE-2023-20076 olarak izlenen hata, benzer şekilde uygulama kapsayıcılarını ve sanal makineleri Cisco yönlendiricilerine dağıtma yeteneğinden yararlanır. Bu durumda, yöneticilerin uygulamalarını çalıştırmak için komutları nasıl ilettikleri ile ilgisi vardır.

Araştırmacılar, “Arayüz Ayarları içindeki” DHCP İstemci Kimliği “seçeneğinin doğru bir şekilde sterilize edilmediğini keşfettiler, bu da onların cihaza kök düzeyinde erişmelerine izin verdi ve “seçtiğimiz herhangi bir işletim sistemi komutunu enjekte etme yeteneği” anlamına geliyordu.

Quinn, bu gücü kötüye kullanan bir bilgisayar korsanının “cihazın işlevselliği ve ağın genel güvenliği üzerinde önemli bir etkisi olabilir” diye açıklıyor Quinn, “güvenlik özelliklerini değiştirmek veya devre dışı bırakmak, verileri sızdırmak, ağ trafiğini bozmak, kötü amaçlı yazılım yaymak ve hileli işlemler yürütmek dahil” .”

Ancak kötü haber burada bitmiyor. Raporun yazarları, “Cisco’nun, bir saldırının yeniden başlatmalar ve sistem sıfırlamaları yoluyla bir sorun olarak kalmasını engellemeye çalışacak şekilde güvenliğe nasıl büyük ölçüde öncelik verdiğini” vurguladı. Bununla birlikte, bir kavram kanıtı videosunda, komut enjeksiyon hatasının kötüye kullanılmasının nasıl tamamen sınırsız erişime yol açabileceğini ve kötü amaçlı bir kabın cihazın yeniden başlatılması veya ürün yazılımı yükseltmeleri yoluyla devam etmesine izin verebileceğini gösterdiler. Bu, kaldırma için yalnızca iki olası çözüm bırakır: tam fabrika ayarlarına sıfırlama veya kötü amaçlı kodu manuel olarak tanımlayıp kaldırma.

Cisco Industrial Gear: Potansiyel Tedarik Zinciri Riski

Bu hataların bir umut ışığı varsa, bu ikisinden birinin kullanılması, ilgili bir Cisco cihazı üzerinden yönetici düzeyinde erişim gerektirecektir. Bir engel kabul edildi, ancak bilgisayar korsanları, düzenli sosyal mühendislik ve yükseltme yoluyla kurbanlarından her zaman idari ayrıcalıklar elde ediyor. Araştırmacılar ayrıca, kullanıcıların varsayılan kullanıcı adını ve şifreyi değiştirme zahmetine girmediğini ve bu en hassas hesap için hiçbir koruma bırakmadığını da belirtti.

Tedarik zinciri riskini de göz önünde bulundurmak gerekir. Yazarlar, kaç kuruluşun ağ cihazlarını üçüncü taraf satıcılardan satın aldığını veya cihaz yapılandırması ve ağ tasarımı için üçüncü taraf hizmet sağlayıcıları kullandığını vurguladı. Kötü niyetli bir satıcı, CVE-2023-20076 gibi bir güvenlik açığından çok kolay, incelikli ve güçlü kurcalamalar yapabilir.

Yazarlar, bu deliğin sağladığı katıksız erişim derecesinin “arka kapıların kurulmasına ve gizlenmesine izin vererek kurcalamayı son kullanıcı için tamamen şeffaf hale getirebileceğini” açıkladı. Elbette, üçüncü taraf hizmet sağlayıcıların ezici çoğunluğu tamamen dürüst işletmelerdir. Ancak bu işletmelerin kendileri tehlikeye girebilir ve bu da onu tartışmalı bir konu haline getirir.

Trellix araştırmacıları raporlarını sonlandırırken, kuruluşları ilgili Cisco cihazlarına kurulu anormal kapsayıcıları kontrol etmeye çağırdı ve kapsayıcı çalıştırmayan kuruluşların IOx kapsayıcı çerçevesini tamamen devre dışı bırakmasını önerdi. Hepsinden önemlisi, “etkilenen cihazlara sahip kuruluşların derhal en son üretici yazılımına güncellemeleri gerektiğini” vurguladılar.

Kullanıcılar kendilerini korumak için yamayı mümkün olan en kısa sürede uygulamalıdır.



Source link